Jeśli Twój QNAP ma właśnie zaplanowane aktualizacje… przeprowadź je czym prędzej. Od niespełna miesiąca posiadacze serwerów QNAP NAS są głównym celem ataku AgeLocker. Na ten moment nie wiadomo jeszcze w jaki sposób ransomware wdziera się na urządzenia. Być może dzieje się tak z powodu wadliwego komponentu Photo-Station. Jednak na ten moment brak jednoznacznego potwierdzenia. Więcej w tym temacie przeczytacie w dzisiejszej prasówce.
1. Ransomware AgeLocker obrał sobie nowy cel – serwery QNAP NAS
Grupa stojąca za ransomware AgeLocker atakuje publicznie dostępne urządzenia QNAP NAS od stosunkowo niedawna, bo raptem od końca sierpnia. Warto zaznaczyć, że mamy do czynienia z ogółnoświatową kampanią. Przestępcy najpierw kradną a następnie szyfrują dane.
Kilka słów o AgeLocker
Ransomware wykorzystuje do szyfrowania algorytm szyfrowania o nazwie Age (Actually Good Encryption). Jest to o tyle ciekawy wybór, ponieważ Age korzysta z szeregu algorytmów, które sprawiają, że jest to wysoce bezpieczny sposób zabezpieczania plików. Na nieszczęście ofiar…
W czasie szyfrowania plików ransomware AgeLocker dodaje do pliku nagłówek „age-encryption.org”. Hakerzy pozostawiają również plik tekstowy z żądaniem okupu – HOW_TO_RESTORE_FILES.txt.
Niestety, twoje urządzenie zostało zainfekowane przez złośliwe oprogramowanie. Duża część Twoich plików została zaszyfrowana przy użyciu schematu szyfrowania hybrydowego.
Atakujący informują również o tym, że wykradli wcześniej interesujące ich dane – wrażliwe dane, skany dokumentów, kopie zapasowe itp.
Stosunkowo niewiele wiadomo o samych atakach – wysokość okupu, czy w jaki sposób przestępcy wdzierają się na wyszukane w sieci urządzenia. Co pozostaje w takim razie administratorom? Jak najszybciej zweryfikować stan zabezpieczeń serwerów NAS? Zaczynając od potwierdzenia czy korzystają one z najnowszego oprogramowania i czy aby na pewno zostały załatane wszystkie wykryte podatności. Następnie:
- Zmień hasła do wszystkich kont na urządzeniu.
- Usuń nieznane konta użytkowników.
- Upewnij się, że nie tylko oprogramowanie sprzętowe urządzenia jest aktualne, ale również wszystkie zainstalowane aplikacje.
- Usuń z urządzenia nieznane lub nieużywane aplikacje
- Ogranicz dostęp do urządzenia
- Wdróż w pełni konfigurowalne rozwiązanie do backupu – skonfiguruj je w taki sposób, by kopie zapasowe były poza zasięgiem AgeLocker lub innego oprogramowania ransomware.
2. Alien – ten obcy kradnie dane z 226 popularnych aplikacji – w tym w Polsce
Specjaliści bezpieczeństwa z ThreatFabric odkryli nowy szczep złośliwego oprogramowania dla Androida, który jest wyposażony w szeroką gamę funkcji umożliwiających kradzież danych uwierzytelniających z 226 aplikacji. W Polsce jest już 2 tys. ofiar.
Alien, bo taką nosi nazwę ten trojan, jest aktywny od początku roku i oferowany jako usługa Malware-as-a-Service (MaaS) na forach hakerskich. Okazuje się jednak, że został oparty na kodzie źródłowym trojana Cerberus, a uzbrojony w dodatkowe techniki i umiejętność obejścia 2FA, jest jeszcze bardziej złośliwy niż jego wymarły “przodek”.
“Obcy” należy do nowej generacji trojanów bankowych dla Androida, które zostały wyposażone w funkcje zdalnego dostępu. Wyświetla fałszywe ekrany logowania i zbiera hasła do różnych aplikacji i usług, ale może zapewnić hakerom dostęp do urządzeń i wykonanie szeregu czynności, m.in:
- Wyświetlać fałszywe ekrany logowania do aplikacji (funkcja używana do wyłudzania haseł)
- Kraść kody 2FA generowane przez aplikacje uwierzytelniające,
- Zapewnić zdalny dostęp do innego urządzenia poprzez TeamViewer,
- Manipulować SMS-ami i przekierowywać połączenia,
- Zbierać szczegóły urządzenia, listy kontaktów, aplikacji i dane geolokalizacyjne
- Zmienić stronę startową przeglądarki (phishing)
- Zainstalować i uruchomić inne aplikacje,
- Blokować ekran i szantażować użytkowników (aka-ransomware),
- Wysyłać żądania USSD.
Uważaj – 226 niebezpiecznych aplikacji
Obecnie Alien kradnie dane z 226 aplikacji na Androida – głównie apek bankowych, kryptowalutowych, społecznościowych, komunikatorów i poczty elektronicznej. W tym Gmaila, Facebooka, Twittera i WhatsApp. Jeśli chodzi o aplikacje bankowe, uderza on w instytucje finansowe w Europie i USA – w tym w dużej mierze w Polsce.
Sposób dystrybucji. Badacze nie podali szczegółów na temat tego, w jaki sposób Alien przedostaje się na urządzenia. Skoro jednak dostarczany jest w modelu Malware-as-a-Service, sposobów może być kilka w zależności od kupującego i grupy przestępczej. Jeden jest pewny – phishingowe strony firm trzecich z aplikacjami, które nakłaniają do pobrania zainfekowanych już programów.
Jak się chronić? Radzimy nie pobierać aplikacji na Androida spoza zaufanych źródeł, takich jak Google Play Store oraz nie przyznawać im uprawnień administracyjnych. To właśnie na tzw. „stronach firm trzecich” z aplikacjami istnieje największa szansa na znalezienie zainfekowanego oprogramowania.
3. Supergrupa hakerów zatrzymana przez polską policję
Polska policja zatrzymała supergrupę hakerów. Była ona zaangażowana w ataki ransomware, dystrybucję złośliwego oprogramowania, duplikowanie kart SIM, oszustwa bankowe, prowadzenie fałszywych sklepów internetowych. Na tym nie koniec. Przestępcy rozsyłali w imieniu klientów fałszywe informacje o podłożeniu bomb. Spora lista.
Czterech podejrzanych zostało już aresztowanych. Czterech kolejnych jest przedmiotem śledztwa.
Policja zaczęło przyglądać się grupie w maju 2019 r. Wtedy właśnie pojawił się pierwszy fałszywy alarm o podłożeniu bomby. W trakcie śledztwa policja odkryła, że Łukasz K. wyszukał hakerów na jednym z forów internetowych i zatrudnił ich do wysłania groźby o podłożeniu bomby do jednej z lokalnych szkół. Przestępcy wykorzystali spoofing, aby wrobić w całą sprawę jego biznesowego rywala.
Mężczyzna, którego tożsamość została sfałszowana w mailu, został aresztowany i spędził w więzieniu dwa dni. Po wyjściu na wolność zatrudnił prywatnego detektywa, aby wyśledził prawdziwych sprawców. Teraz robi się naprawdę ciekawie… Kiedy hakerzy zorientowali się, co się dzieje, zhakowali operatora komórkowego i wygenerowali faktury na tysiące złotych na nazwisko detektywa i wrobionego biznesmena.
Jednak nie jest to najgłośniejsza sprawa w tej historii. Wszyscy jeszcze pamiętamy zapewne ubiegłoroczną serię alarmów bombowych w przedszkolach. Wiadomość trafiła do 1066 placówek w całej Polsce. To także jest sprawka zatrzymanej w ostatnim tygodniu grupy przestępczej.
Oszustwa, phishing, ransomware…
Hakerzy posługiwali się również phishingiem – w atakach wykorzystywali m.in. ransomware Cerberus, Anubis, Danabot, Netwire, Emotet i njRAT. Łącznie powiązano ich z aż 87 różnymi domenami, które służyły do dystrybuowania złośliwego oprogramowania.
Hakerzy wykradali także dane osobowe ofiar, których następnie używali do kradzieży pieniędzy z banków stosujących słabe zabezpieczenia. Jeśli jednak instytucja wykorzystywała wieloskładnikowe uwierzytelnianie, przestępcy tworzyli fałszywe dowody tożsamości by następnie podszyć się pod ofiarę i otrzymać duplikat jej karty SIM. Grupa w trzech atakach tego typu wykradła ponad 600 tys. złotych.Kolejna próba – warta 7,9 mln zł – była na szczęście mniej udana.
Grupa ma na swoim koncie również prowadzenie 50 fałszywych sklepów internetowych. W ten sposób oszukali ponad 10 tys. kupujących.
W całej sprawie zabrał również głos Europol, który na razie jeszcze tylko sugeruje, że grupa prowadziła działania wykraczające poza polskie granice.
4. Z niezabezpieczonego serwera Microsoft Bing wycieka 6,5TB danych (!)
Niezabezpieczona baza danych ujawniła zapytania użytkowników aplikacji mobilnej wyszukiwarki Bing firmy Microsoft. W tym ich współrzędne lokalizacji, wyszukiwane hasła w postaci zwykłego tekstu i nie tylko.
Chociaż żadne dane osobowe nie zostały ujawnione, badacze z Wizcase argumentują, że dostępna jest wystarczająca ilość danych, aby móc powiązać zapytania i lokalizacje z tożsamościami użytkowników. To może umożliwić przestępcom szantaż, oszustwa phishingowe i wiele więcej.
Ujawnione dane dotyczyły wyszukiwań z wykorzystaniem aplikacji mobilnej wyszukiwarki Microsoft Bing, działającej na serwerze o pojemności 6,5 terabajta (TB), który zawierał 13 miliardów rekordów! Serwer był dostępny online od 10 do 16 września.
Tylko z Google Play Store aplikacja została pobrana ponad 10 milionów razy, a dziennie wykonuje się z jej pomocą miliony wyszukiwań. Każdy, kto korzystał z niej w dniach 10-16 września jest zagrożony. Badacze odnotowali rekordy osób z ponad 70 krajów.
Twierdzą również, że między 10 a 12 września oraz 14 września serwer był celem „ataku Meow”, który usunął prawie całą bazę danych.
Dane te były jednak potencjalnie narażone na działanie wielu oszustów i hakerów. Mogą być wykorzystane do szantażu lub phishingu, a ekspozycja informacji o lokalizacjach może również narazić ofiary na ataki fizyczne i rabunki.